王晓倩　曹翟　徐可

关键词 个人信息权 数据化 个人数据 权利 主体

基金项目：本文系2017年度国家级大学生创新训练计划项目（项目编号：20171049713003）部分成果。武汉理工大学2017年度国家级大学生创新创业训练计划资助。

作者简介：王晓倩、曹翟、徐可，武汉理工大学文法学院。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.03.331

我们正进入一个大数据经济时代，信息数据化现象广泛存在，但并不是所有个人信息均可被数据化，能够被数据化的信息是有限的，后文将进行分析。现阶段有关数据法律法规尚不健全，用户点击同意键即可签订格式条款，对网络服务提供者进行授权或许可，这成为了后者对个人数据的权利来源。用户的盲目授权和服务商的轻易索取都体现了个人数据主体不明的问题。

一、信息数据化的背景

我们正在进入一个崭新的数据经济时代，随着科学技术的革命性进步，数据在经济发展中的地位越来越重要，其影响力日益增加。由于数据本身的优势，网络服务提供者们加快了信息数据化的脚步。

（一）信息数据化的概念

数据是客观世界中记录下来的可以被鉴别的符号及其组合，与信息的联系在于，数据是信息的表达、载体，而信息是数据的涵义、实质内容。因此，信息的数据化就是指为信息添加载体，使之成为可以被计算机直接识别和读取，可分析的量化形式的过程。

数据化的目的不限于存储，而是利用数据分析工具（统计和算法），以及必要的设备（信息处理器和存储器）依照需求大规模地对数据进行加工处理。所得出的衍生数据一般具有一定价值且可以传输。

（二）信息数据化的必要性

信息早在古代社会就已存在，但信息数据化现象在大数据时代才开始发展起来。信息数据化成为商业发展的一大趋势，主要有以下几点原因：

首先，数据有更多可开发的价值。依据需求对已储存的数据进行分析、重新组合、进行扩展，利用历史数据与新数据进行对比，开放政府数据，均是对数据价值的体现。

其次，大数据分析有其优势。大数据分析的分析对象是全体数据而不是随机样本，分析总量更大。另外，大数据分析对所分析的数据无精确性要求，能够处理混杂的数据。最后，大数据分析无需预先设定数据间的因果关系，可自行分析出其相关关系。

最后，信息数据化具备客观条件。智能手机、可佩带计算设备、植入芯片、传感器、通信模块等设备使个人信息、个人行为、所在位置等信息易于被记录和分析。

由于信息的碎片化多样性以及较强的人身属性相较于数据的全面性整体性财产性信息数据化有利于实现信息的商业价值。在互联网时代的大背景下信息数据化存在必要性。

二、可数据化的个人信息

虽然数据化现象在目前广泛存在，但这并不代表所有個人信息都可以被数据化。界定可数据化的个人信息的范围是分析数据化的结果与影响的前提条件。

（一）个人信息概念解释

目前，我国不同法律对个人信息的定义存在差异。

《民法总则》指出自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。 同时也对个人信息权设立了规范：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。 但这一概念与《民法总则草案（第二次审议稿）》 中的定义有所不同。前述条文的意义不仅是明确了自然人享有个人信息权，还赋予了个人信息权独立的法律地位，公民的个人信息受法律保护。

《网络安全法》也对个人信息进行了定义：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

虽然我国现行法律对于个人信息还没有统一的定义，但可以根据以上条文归纳出个人信息具有以下几项特征：一是可记载性，即能够以电子或者其他方式记录的。鉴于前文所述的数据与信息的区别，本文严格区分这两个概念。二是身份识别性，即每条信息都有相对应的自然人。三是内容广泛性，如《网络安全法》第七十六条中提到的自然人的姓名等。 个人信息的范围不限于法条列举的典型类别，而且随着社会发展，其范围也将逐步扩大。

（二）可数据化的个人信息的范围

虽然《民法总则》第一百一十条和一百一十一条对隐私和个人信息分别进行了规定，形成了“二元制”的保护方式，我国《网络安全法》第七十六条也规定了个人信息的基本概念，但是它们并未严格区分个人信息权和隐私权的客体范围，不能完全解决在实践中个人信息与隐私交错的问题。

有学者对个人信息和隐私区分提出“三分法”观点，按照与人格尊严的相近程度，提出了纯粹的个人隐私、隐私性信息、纯粹的个人信息三种类别。 三者的相近程度呈递减趋势。这种“三分法”将个人信息和隐私的关系阐述的比较清楚，但未明确是针对哪个对象进行“三分”，在何种范围内进行“三分”，笔者认同这种将个人信息与隐私进行区分的方式，笔者认为个人信息有广义的个人信息之说和狭义的个人信息之说。广义的个人信息即是《网络安全法》中界定的概念，包括纯粹的个人隐私和狭义的个人信息。对于非公众人物的普通自然人个体而言，纯粹的个人隐私的人身性极强，与其人格利益联系非常紧密，因此不具有财产性，不能用财产衡量其价值，不能进行交易买卖，也就不能够被商业化，所以需要用人格权中的隐私权进行保护。狭义的个人信息包括隐私性信息和纯粹的个人信息，其人身性较弱，与人格尊严的联系不那么紧密，但是财产性较为突出，具有很大的财产价值，能够被商业化利用。

大数据时代，个人信息的数据化和数据化背后的财产价值愈加受到重视，但是不能以侵犯个人隐私和人格权为前提。从前文论述中可见，纯粹的个人隐私不应当被数据化，也不应当被交易；而狭义的个人信息能够被数据化。对于后者，可用逐渐褪去其人格权的属性，突出其财产权的属性的方式实现数据化。因此本文所谈的数据化的个人信息仅指狭义的个人信息。

三、个人数据的分类及其比较

个人信息的数据化是指为个人信息添加载体，使之成为可以被计算机直接识别和读取，可分析的量化形式的过程，我们称此时的被数据化的个人信息为个人数据。

（一）个人数据的分类

个人数据以数据形式作为外在载体，其内容仍是个人信息，因此它仍然兼具人身权和财产权的属性。因个人信息发生数据化的处理方式不同，导致不同类别个人数据的人身性和财产性有一定差异。

以是否可以识别主体身份为标准，可以将个人数据分为显名个人数据和隐名个人数据两类。第一种是显名个人数据，该种类的个人数据直接将个人信息记录收集在载体上生成为数据，没有经过特殊处理，故是可识别主体身份的个人数据，因此具有较强的人身权的属性。第二种是隐名个人数据，该种类的个人数据被限制识别能力技术如限制访问、匿名处理、化名处理等手段处理过，能够限制他人通过数据识别个人信息，是难以或者不可识别主体身份的个人数据，因此它的人身属性大大减弱，具有较强的财产属性。

（二）两种个人数据的比较

在人身属性方面，显名个人数据的人身性强于隐名个人数据。

第一，从内容角度看，显名个人数据具有可识别性，与主体紧密结合。个人信息是关于个体人格、身份、身体等方面的信息，具有主体的某些重要的特征。显名个人数据是个人信息的载体化形式，也就具有主体的相关特征和识别性，因此它与主体密切联系，体现出较强人身性。隐名个人数据在内容上不具有某一自然人的相关信息，只含有群体性信息，不能与某一自然人产生对应关系，也就更不能与自然人主体产生紧密联系，可见其不具有人身性。

第二，从形式角度看，显名个人数据与主体有对应性。每一显名个人数据都能与一自然人主体相对应，而隐名个人数据是概括于数个或者多个显名个人数据之上的，无法与单一自然人进行对应。

在财产属性方面，隐名个人数据的财产性强于显名个人数据。

由于显名个人数据在个人信息的基础上产生，所以其是否具有财产属性很大程度上受个人信息是否具有财产属性的影响。有学者将个人信息定义为与特定个人相关联的、反映个体特征的具有可识别性的是符号系统，包括个人身份、工作、家庭、财产、健康等方面的信息。 并认为只要承认个人信息权是一种民事权利，那么，个人信息权应为一种人格权。 这个定义采用归纳和列举的方式对概念进行界定，强调了个人信息的可识别性和与自身人格紧密结合的属性。按照此定义，既然显名个人数据是个人信息的载体，则该数据也是人格权的客体之一。人格权客体是一种与人身紧密结合的人格利益，不能作为商品进行交易，这也与《民法总则》第一百一十一条相契合。因此，显名个人数据无财产属性。

隐名个人数据财产属性突出，原因有：

第一，数据是生产要素，能帮助网络服务提供者盈利。具体来讲，单一的一条隐名个人数据中实质上凝结了大量信息，它能为其前期经营活动做出总结，并为其后续经营活动提供引导，有助于服务者实现盈利。

第二，大数据时代推动了数据商品化。大数据分析的整体性和混杂性使数据能接受多次处理，从多角度实现其使用价值。互联网技术使数据交易更快捷和简便，特别是出现了许多大数据交易平台。隐名个人数据的可交易性能反应出其财产属性。

第三，隐名个人数据无人身性，可以作为被交易的商品，前文已阐释，不再赘述。

在产生时间方面，显名个人数据早于隐名个人数据产生。

隐名个人数据是显名个人数据经限制识别能力技术处理后的产物，因此针对同一内容的隐名个人数据是产生于显名个人数据之后。

四、个人数据权属的争议

个人数据的权利主体在学界仍有争议，笔者将针对现有的新型人格权观点、二元权利观点、两阶段财产权观点进行阐述。

（一）新型人格权观点

持新型人格权观点的学者认为个人数据权是一种自然人依法对其个人数据进行控制和支配并排除他人干涉的权利。 这种观点认为个人数据权是一种随着社会发展而逐步明确化和独立出来的新型人格权。个人数据权包括数据决定权、数据保密权、数据查询权、数据跟证券数据封锁全数据删除权和数据报酬请求权等。

此观点的合理之处在于，用列举法详细枚举了个人数据权的几项具体权能，明确了权利人的权利范围，有利于个人实现其基于数据利益，也能排除他人干涉独占地享有权利。但其缺陷在于，过度的强调对隐私和其他人格利益的保护，而忽视了数据的财产属性。与大数据时代的发展趋势背道而驰，无法解决数据交易中出现的问题，应用性较差。也使现已存在的数据交易的标的物变为不可流通的标的，当事人的行为难以被定性。

（二）二元权利观点

也有学者认为个人数据权是一种兼具人格权与财产权性质的一种二元化的权利，用户对其个人数据不仅享有以资讯自决为核心的人格权，同时也享有以授权他人对其数据进行商業利用并收取相应报酬为主要内容的财产权。

这一观点比新型人格权观点有所发展，它认识到了大数据时代下数据财产化的发展趋势，从而进一步承认了个人数据在某些民事法律关系中也能成为财产权客体。但其缺陷在于只承认了本人对数据的各项权利，未认可其他主体对于个人数据的权利，尤其是未确认网络服务提供者对数据的使用权，不利于基于互联网服务的开展。

（三）两阶段财产权观点

有学者将个人数据权定性为一种新型财产权。该观点将个人信息和个人数据进行完全的分离，这种观点将个人数据权的归属分成两个不同的阶段：首先对于用户，应在个人信息或者说初始数据的层面，同时配置人格权益和财产权益；其次对于数据经营者（企业），基于数据经营和利益驱动的机制需求，应分别配置数据经营权和数据资产权。

这一观点与前述三个观点有两点突出的区别。

其一，将信息权与财产权分开讨论，分别对其进行定性，并明确权利范围。笔者也赞同分别讨论的方式。

其二，重视数据的财产属性。通过利用数据实现其自身的价值，是我们讨论数据权属的重要目的，承认其财产权属性十分关键。

两阶段财产权观点与本文观点最为接近，但笔者不赞同把数据资产进行笼统讨论。本文认为，个人数据分为显名个人数据和隐名个人数据两种，其性质不同，所以应分别讨论其主体。

五、显名个人数据的权利主体

其主体为个人和网络服务提供者。个人对显名个人数据享有完整的权利，网络服务提供者只享有部分权利。服务商在知晓用户信息后才能为其提供更有针对性的服务。因此显名个人数据的主体不仅是用户个人，还有服务商。

（一）权利主体之一：个人

人格权具有专属性，其与权利主体不可分离、不可转让、不得抛弃、不得继承。 但个人数据基于的不仅有带有人格性质的信息，还有纯粹的个人信息，其与主体严格地不能分离。

显名个人数据由自然人的个体活动产生，当然由个人享有权利。此外显名个人数据含有主体识别性标志的信息，可以识别相应的自然人，与用户的人格利益紧密结合，受人格权保护，故不得被他人任意使用，应由个人自由支配。而且这也符合《民法总则》和《网络安全法》的相关条文的规定。

（二）权利主体之二：网络服务提供者

用户授权时网络服务提供者对于个人数据的权利的来源。网络服务提供者在为用户提供服务前，会与其签订涉及个人信息事项的“服务条款”，用户点击“同意”该“服务条款”后才可开始接受服务。因此网络服务提供者的使用权和处分权是基于用户授权而获得的。

网络服务提供者仅享有在经营范围内的收集权以及合理使用范围内的使用权，不能超过权利界限。网络服务提供者作为法人有独立的民事主体资格，在经营范围内有民事权利能力，其经营范围不得超越边界。为了实现有针对性的互联网服务，故赋予网络服务提供者以收集权和使用权。但不可否认的是，此情况下网络服务提供者获得的数据是与本人紧密联系的、高识别度的个人信息，故因此应对其加以限制——只能作本企业生产经营内部使用，不能向外界公开相关数据。

网络服务提供者对权利的享有具有必要性。互联网服务性企业的优势在于能快捷准确的提供有针对性的服务。而显名个人数据就是筛选定向性服务的依据。虽其中会涉及对个人信息的获取、存储，但其行为不是以窥探和泄露隐私为目的的侵权行为，而是为用户提供更好体验的必然行为。例如，共享经济中对用户位置、位移的记录是为了便于找到其附近的共享设备；快捷支付中对用户银行卡号、指纹的获取是为了提供一个更迅速实现支付的手段；以及互联网服务业中实名制认证对身份证号的获取是为了防止用户的账号被冒用。这些都不是任意的无因性索取，而是与其服务内容紧密联系的。换言之，获取个人信息是网络服务提供者履行约定义务的必要条件。

显名个人数据是由网络服务提供者所有的设备或软件获取的。显名个人数据是通过网络服务提供者所拥有的设备或软件进行检测和记录而获取的，如果没有这些设施，数据不会产生。网络服务提供者研发或购买该机器的行为正是为了获取其运转而产生的数据，也同时承担了维持其正常运转的责任。

六、隐名个人数据的权利主体

隐名个人数据的权利主体为网络服务提供者。

自然人不能成为隐名个人数据权利的主体的原因有三。

其一，隐名个人数据的生产主体是服务商。

其二，其最终内容不含有个人信息，而是基于广泛用户的整体性信息。

其三，其使用目的是更好地服务于服务商的经营活动，而不是窥探和泄露个人信息。可见，不同于显名个人数据，个人并不应对其享有权利。

（一）权利来源和性质

网络服务提供者通过原始取得方式取得权利。根据我国《物权法》的规定，原始取得指的是民事主体不依据他人的已有的权利或意思表示，而直接根据法律规定取得物权。网络服务提供者在将信息匿名化处理的加工、汇总、分析过程中付出了劳动，因此能依物权法通过继受取得的方式获得隐名个人数据权利。

隐名个人数据是不具有主体识别性的数据，所以网络服务提供者制造隐名个人数据的行为一般不会侵害用户的隐私权，也是符合现有法律规定 ，能依其劳动享有数据的财产权。

可以将权利分为支配权、请求权和形成权三类。网络服务提供者对隐名个人数据的使用和处分是依照自己的生产需要和发展需求决定的，一般不受其他组织体意志的影响也不需要其配合，故不是请求权。对数据的利用和支配也不涉及对已有法律关系的变动，因此也不是形成权，故为支配权。支配权是权利人排他性享有的直接支配其标的的权利，即权利人网络服务提供者能够不受他人意志干涉、不需要他人意思表示的配合就能自主地支配匿名化隐名个人数据。

（二）权利性质和享有范围

网络服务提供者对隐名个人数据享有的权利为财产权。以权利的标的为区分标准，权利可分为财产权、非财产权和两种性质兼有的权利。隐名个人数据不仅对于网络服务提供者自身有使用价值，由于隐名个人数据集合了大量的用户偏好、客户群体特征等有价值的商业信息，对相关行业的企业也有利用价值，因此可以将隐名个人数据作为商品进行交易。

在传统民法理论中，以权利的作用为标准，网络服务提供者对隐名个人数据享有使用和处分的权利。隐名个人数据的使用方式有：将数据投入服务过程、作为后期商业决策布局依据等等。隐名个人数据权利的处分方式有：将其作为行业信息商品在业内进行出售。

显名个人数据是指可识别个人主体的个人数据，例如入住酒店时所登记的姓名，身份证等具有关键识别作用的数据。显名个人数据的人身性质更为突出。隐名个人数据是指不可识别个人主体的个人数据，例如酒店在公布房间入住情况时涉及到的：顾客群体性别比例、职业分布、入住时间等数据。隐名个人数据的财产性體现的更为突出，其集中性、明了性、可参考性，较之于显名个人数据而言，具有分散性、模糊性、抽象性的特征，因此更具商业价值，这也拓宽了隐名个人数据的使用深度，使其易于交易，促进其财产价值的实现。确立网络服务提供者对隐名个人数据的处分权，也利于权利处分后主体身份的转移，即利于确定大数据平台或其他数据需求者作为继受主体对数据享有权利。

七、结语

在用户接受网络服务的过程中，个人信息数据化现象已广泛存在。确认权利归属有利于各主体在权利边界的范围内行使权利、履行义务，也能帮助认定侵权行为和确认侵权责任。在数据权利的主体、客体和内容多样化的趋势下，虽然《民法总则》对数据进行了概括性保护，但仍难以应对日益复杂的数据发展形势，可见与数据权利相关的理论和立法还需进一步完善。

注释：

[英]维克托·迈尔·舍恩伯格、肯尼斯·库克耶著.盛杨燕、周涛译.大数据时代：生活、工作与思维的大变革.浙江人民出版社.2013.124-125，128-151.

《中华人民共和国民法总则》第一百一十条.

《中华人民共和国民法总则》第一百一十一条.

《民法总则草案（第二次审议稿）》： 自然人的姓名、出生日期、身份证件号码、个人生物识别信息（如基因、指纹等）、住址、电话号码等个人信息受法律保护。

《中华人民共和国网络安全法》第七十六条.

李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础.浙江工商大学学报.2017（3）.10.

王利民.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013，35（4）.64.

齐爱民、盘佳.数据权、数据主权的确立与大数据保护的基本原则.苏州大学学报（哲学社会科学版）.2015（1）.

蓝蓝.网络用户个人数据权利的性质探析.互联网法律通讯.2008，4（4）.

龙卫球.数据新型财产权构建及其体系研究.政法论坛.2017，35（4）.63.

王利民.人格权法研究.中国人民大学出版社.2005.32.

《中华人民共和国侵权责任法》第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。

《网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。